Le projet Epic Turla est utilisé en tout état de cause depuis 2012 pour attaquer diverses cibles, le pic d’activité ayant eu lieu en janvier/février 2014. Kaspersky Lab a observé l’attaque la plus récente contre l’un de ses utilisateurs le 5 août dernier.

Les cibles d’Epic Turla semblent appartenir aux catégories suivantes: institutions publiques (Ministères de l’Intérieur, Ministères du Commerce, Ministères des Affaires étrangères, services de renseignement), ambassades, défense, organisations de recherche et d’enseignement, et sociétés pharmaceutiques.

La majorité des victimes semblent être établies au Moyen-Orient et en Europe. Les chercheurs ont toutefois observé également plusieurs victimes dans d’autres régions, dont les Etats-Unis et la Russie. Au total, les experts de Kaspersky Lab ont dénombré 500 victimes avec des adresses IP réparties sur plus de 45 pays, avec la France en tête de liste.

L’attaque

Les chercheurs de Kaspersky Lab ont découvert que les pirates Epic Turla recourent à des exploits zero-day, l’ingénierie sociale et des attaques watering hole pour infecter les victimes.

Par le passé, ils utilisaient au moins deux exploits zero-day: un pour Escalation of Privileges (EoP) dans Windows XP et Windows Server 2003 (CVE-2013-5056), qui permet au backdoor Epic d’obtenir les droits d’administrateur sur le système de manière à en prendre le contrôle total; et un exploit dans Adobe Reader (CVE-2013-3346).

Lorsqu’un utilisateur ne se doutant de rien ouvre un fichier PDF malveillant sur un système vulnérable, l’appareil est automatiquement infecté, de sorte que le pirate prend directement le contrôle complet de sa cible.

Les pirates utilisent tant des e-mails de spear-phishing directs que des attaques watering hole pour infecter leurs victimes. Les attaques détectées dans cette opération peuvent être réparties dans différentes catégories, suivant le mécanisme d’infection utilisé comme première approche de la victime:

·       E-mails de spear-phishing avec exploits Adobe PDF (CVE-2013-3346 + CVE-2013-5065)

·       Ingénierie sociale pour attirer l’utilisateur vers des installateurs de malware déjà fonctionnels avec l’extension « .SCR », parfois compressés avec RAR

·       Attaques watering hole qui recourent à des exploits Java (CVE-2012-1723), des exploits Adobe Flash (inconnus) ou des exploits Internet Explorer 6, 7 et 8 (inconnus)

·       Attaques watering hole qui recourent à de l’ingénierie sociale pour attirer l’utilisateur vers des installateurs de malware « Flash Player » bidons déjà fonctionnels 

Les watering holes sont des sites web fréquemment visités par des victimes potentielles. Ceux-ci sont compromis par les pirates et, lorsque la victime visite le site, elle est infectée. En fonction de l’ensemble unique de cookies ou de l’adresse IP du visiteur (par exemple s’il s’agit de l’adresse IP d’un organisme public), l’infection consiste dans des exploits JAVA ou IE, de faux lecteurs Flash ou un Microsoft Safety Scanner bidon. Au total, les chercheurs de Kaspersky ont relevé plus de cent sites web compromis. Le choix des sites web démontre l’intérêt spécifique des pirates. A titre d’exemple, bon nombre des sites web espagnols infectés appartiennent à des autorités locales.

Si l’utilisateur est infecté, le backdoor Epic poursuit directement en établissant une connexion avec le serveur C&C (Command & Control), vers lequel les informations système de la victime sont envoyées. Ce backdoor est également connu sous les noms de « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tavdig ».

Dès qu’un système est touché

Les pirates reçoivent un court résumé des données de la victime, sur base de quoi ils fournissent un ensemble préconfiguré avec des commandes système. Les pirates chargent en outre plusieurs outils. Parmi ceux-ci figurent un outil keylogger spécifique, un RAR Archiver et des utilitaires standard comme l’outil DNS Query de Microsoft.

Première phase de Turla

Pendant l’analyse, les chercheurs de Kaspersky Lab ont observé que les pirates utilisaient le maliciel Epic pourt installer un backdoor plus avancé, connu sous le nom de « Cobra/Carbon » ou « Pfinet ». Après quelque temps, les pirates sont allés plus loin, en utilisant l’implant Epic pour mettre à jour le fichier de configuration Carbon avec un autre ensemble de serveurs C&C. Après une analyse approfondie du fonctionnement de ces deux backdoors, un lien direct clair a été établi.

"Les mises à jour de configuration pour le maliciel « Carbon » sont intéressantes, car il s’agit d’un autre projet qui peut être relié à présent au groupe Turla. Cela suggère que nous avons affaire à une infection en plusieurs phases qui commence avec Epic Turla – afin d’infecter ainsi les victimes, avant de les étudier. Si la victime est intéressante, l’infection est mise à jour pour passer au système Turla Carbon complet", indique Costin Raiu, directeur de la Global Research and Analysis Team (GReAT) chez Kaspersky Lab.

Langue

Les pirates derrière Turla ne sont clairement pas anglophones. Ils commettent régulièrement des erreurs d’orthographe et de formulation, par exemple:

·       Password it’s wrong!

·       File is not exists

·       File is exists for edit

D’autres indices laissent deviner l’origine des pirates. Ainsi, plusieurs backdoors ont été réalisés sur un système russophone. Pour l’un des backdoors Epic, le nom de « Zagruzchik.dll » est utilisé en interne, qui signifie « boot loader » en russe.

Enfin, le panneau de commande Epic Turla est configuré de manière à afficher les caractères cyrilliques.

Ressemblances avec d’autres menaces

Différentes similitudes avec d’autres campagnes de cyber-espionnage ont été découvertes. En février 2014, les experts de Kaspersky Lab ont découvert que le maliciel MiniDuke utilisait le même webshell que l’équipe Epic Turla.

Pour de plus amples informations sur les liens entre «Epic» et Turla, lisez le post de blog disponible sur Securelist.com